網民愈來愈重視個人私隱,致使企業及消費者網站爭相採用加密技術,然而近期卻反為網絡犯罪製造了可乘之機,讓惡意程式可藏身於往來的加密資訊,甚至毋須精密設計,即能成功逃避檢測。
事實上,據Alexa統計排名的全球十大網站裡,多達8個網站是全部或局部地部署SSL加密技術。譬如技術巨頭Google、Amazon和Facebook,都實行了「全天候HTTPS」模式,以SSL加密來保護所有在連結操作的數據。企業的關鍵應用如檔案儲存、搜尋、雲端企業軟件及社群媒體,都長期使用加密方式,來保護傳輸中的數據。然而,SSL加密傳輸缺乏可視性,因此造成潛在漏洞,而令許多企業的保安設備,無法區分正常與攻擊性的SSL傳輸。結果加密反而讓攻擊能避過網絡保安,導致企業內敏感的僱員或公司資料外泄。Blue Coat實驗室一般每週收到超過10萬個客戶查詢要求安全資訊,都是有關網站使用HTTPS加密協議管控惡意軟件的。
揭示可視性漏洞
Blue Coat的「2014安全報告-可視性漏洞 (2014 Security Report – The Visibility Void)」指出,加密傳輸正成為了網絡罪案的溫床,原因分別是惡意程式利用加密,掩護攻擊而毋須精密設計,因為加密阻礙了企業偵測攻擊;其次是外來黑客或不良僱員的惡意破壞,能導致重要數據失竊,敏感訊息輕易外傳;此外,通過簡單結合「一日網站(One-Day Wonders)」與加密,於SSL傳輸傳入惡意程式,或傳出竊取數據,企業會豪不察覺攻擊,因而無法防止、偵測及應對。
加密的廣泛應用,意味著許多企業都無法追踪在網絡上正常進出的訊息,造成盲點並不斷擴大。事實上,從2013年9月以來的12個月內,Blue Coat研究人員平均每週接獲的安全訊息查詢中,有多達11%至14%是與網站加密相關。簡單惡意程式隱藏於加密傳輸的一個例子是Dyre。源於烏克蘭的Dyre是專門竊取密碼的木馬程式,廣泛傳播。當最成功的木馬惡意程式之一Zeus被擊破後,Dyre簡單地增添加密,便迅速取而代之。今天Dyre會依據人們的行為,鎖定擁有大量帳戶的國際級企業,以盜取帳戶訊息如社會安全號碼、銀行賬戶資料、隱密健康資料、知識產權等。
維護安全及私隱
Blue Coat首席安全策略專家Dr. Hugh Thompson表示:「個人隱私與企業資訊安全之間的拉鋸戰,令企業網絡打開了缺口,受到利用SSL的新惡意程式攻擊,危及每個人的資料。」他續稱,企業要確保客戶資料安全並符合法規要求,必須具備可視性,以能窺探隱藏在加密傳輸的威脅同時精確控制,以確保員工私隱也同樣得到保障。
企業的資訊安全要求,必須兼顧私隱政策與相關法規的要求。由於企業政策及適用法規,會因不同地域以及個別機構和行業而有所不同,因此企業需要具備靈活、可配置、可自訂,及針對解密的效能,以滿足獨特的業務需求。為讓企業在遵從政策及法規要求的同時,亦能對付隱藏在加密傳輸的威脅,Blue Coat制訂了一列關鍵要素清單, 讓IT安全部門在為企業作相關策劃時參考,完整指引清單詳見於「可視性漏洞」報告(http://goo.gl/YtNUSc) 。
沒有留言:
發佈留言